Initialement découverte le 11 octobre 2021, cette vulnérabilité critique de type Insecure Default Initialization of Ressource a fait l’objet d’un bulletin d’alerte par l’éditeur le 24 avril 2023. L’absence de contrôle du changement du mot de passe par défaut (SECRET_KEY) permet à un attaquant non authentifié et distant, via des requêtes spécifiquement forgées, de contourner les politiques d’accès et d’obtenir des informations sensibles.
Le CISA a intégré cette vulnérabilité dans sa base de données Known Exploited Vulnerabilities (KEV) le 08 janvier 2024.